Энергетические предприятия относятся к так называемым «объектам критически важной инфраструктуры». От их стабильной работы зависит жизнь простых граждан и нормальное функционирование крупных корпораций. По этой причине проблема информационной безопасности в энергетической отрасли в настоящее время привлекает большое внимание экспертов.
Редакция SecureNews попросила специалистов в сфере информационной безопасности рассказать о специфике защиты информации на энергетических предприятиях и угрозах, которые существуют для этих объектов.
Прежде всего мы попросили экспертов рассказать, что именно нуждается в защите и какие механизмы применяются на энергетических предприятиях для того, чтобы обеспечить должный уровень информационной безопасности.
Владимир Назаров, руководитель отдела безопасности промышленных систем управления Positive Technologies:
«При выстраивании защиты объекта ТЭК (топливно-энергетического комплекса) необходимо исключить несанкционированные воздействия на оборудование энергетики ─ команды и нарушение связи между подстанциями. Как показывает наша практика, в сфере ТЭК используются общепризнанные механизмы обеспечения ИБ. Для защиты технологических сетей, как правило, специфических инструментов не применяется. Специфика защиты промышленных объектов заключается в том, что средства защиты ни в коем случае не должны повлиять на технологический процесс. К таким средствам, например, относятся анализаторы сетевого трафика, подключенные черед дата-диод.
Специалистам необходимо обратить внимание на защиту микропроцессорных интеллектуальных электронных устройств ─ терминалы РЗА (релейной защиты и автоматики), контроллеры присоединения, измерительные преобразователи, серверы SCADA, АРМы. Данное оборудование применяется для управления и контроля над процессом передачи электроэнергии, а также предотвращения повреждения высоковольтного оборудования в аварийных ситуациях. Эксплуатация уязвимостей подобного оборудования и используемых им сетевых протоколов может позволить злоумышленнику влиять на технологический процесс. Также не стоит обходить стороной защиту сетевого оборудования, в том числе на котором организована передача информации за периметр подстанции в диспетчерские центры».
Павел Луцик, руководитель проектов по информационной безопасности компании КРОК:
«Многие объекты энергетической отрасли являются критически важными для государства объектами. Они содержат в своем составе автоматизированные системы управления технологическими процессами (АСУ ТП), требующие соответствующей защиты.
С точки зрения обеспечения ИБ АСУ ТП есть ряд важных задач. Во-первых, современные АСУ ТП предприятия объединены в промышленные сети и в большинстве своем связаны с офисными сетями, а в некоторых случаях и с интернетом. Все это требует соответствующей защиты с точки зрения межсетевого разделения трафика. Второй важной задачей является защита рабочих мест операторов и SCADA-серверов от вредоносного ПО, запуска неразрешенных приложений и подключения неучтенных внешних накопителей и других устройств. И третьей важной задачей обеспечения должного уровня ИБ АСУ ТП является защита промышленных контроллеров от несанкционированного доступа к ним, изменения исполняемого в них кода и отправки на них некорректных команд. В настоящее время для решения первой задачи применяются так называемые однонаправленные шлюзы, а для двух других – комплексные решения по защите компонентов АСУ ТП, в том числе на базе продуктов ведущих российских разработчиков средств защиты».
Также эксперты рассказали об угрозах информационной безопасности, с которыми энергетические компании и предприятия столкнулись в 2016 году.
Алексей Сабанов, заместитель генерального директора, компания «Аладдин Р.Д.»:
«Угрозы были связаны, в первую очередь, с сетевыми атаками и атаками на АРМы пользователей. Известными примерами являются атаки на украинские сети. По данным Лаборатории Касперского, в декабре 2016 г. около 19% промышленных IT-систем в Украине находилось под хакерскими атаками. Это была успешная атака на компанию «Прикарпатьеоблэнерго». Перебои в подаче электроэнергии в столице Украины и ряде ее пригородов в декабре 2016 г. были результатом хакерской атаки, считают эксперты, изучающие инцидент. Инцидент связывают с аналогичным взломом и отключением электроэнергии «Прикарпатьеоблэнерго» в 2015 году».
Павел Луцик:
«Последнее время хакерские атаки и их результаты все чаще используются для манипуляции общественным мнением. Это делает их привлекательным инструментом в борьбе с конкурентами: например, остановка конвейеров или аварии на производстве могут использоваться для подрыва доверия клиентов или снижения стоимости активов.
В последние несколько лет специалистам стало очевидно, что промышленные системы защищены довольно слабо, а постоянно увеличивающееся количество хакерских атак яркое тому подтверждение. И факт того, что раньше атак было гораздо меньше, свидетельствует не о том, что системы были более защищенными. У хакеров наконец дошли руки, а у тех, кто за ними стоит, появились соответствующие цели. Слабость защиты современных АСУ ТП хорошо демонстрируют технические аудиты, которые, как правило, показывают наличие следующих брешей в защите: отсутствие корректной сегментации промышленных и офисных сетей, использование слабых или «зашитых» паролей, применение слабых парольных политик, наличие у операторов лишних прав, применение несанкционированного ПО и периферийного оборудования, а также, отсутствие ответственных за обеспечение ИБ АСУ ТП».
Кроме того, специалисты по информационной безопасности рассказали о вызовах в данной сфере, с которыми могут столкнуться энергетические компании и предприятия в ближайшем будущем.
Рустэм Хайретдинов, генеральный директор компании «Атак Киллер»:
«Основная современная проблема защиты процессов в энергетике – это тренд к децентрализации генерации, связанный с переходом на возобновляемые источники энергии. Сегодня выработкой электроэнергии в основном занимаются централизовано, на уровне региона (ГЭС, АЭС) или города (ТЭЦ), поэтому у энергетиков есть ресурсы защищать свои процессы и данные. Но с переходом на децентрализованную генерацию, вплоть до ветрогенератора или солнечных батарей в каждом доме, ресурсов на защиту генерирующих мощностей в каждом доме будет не хватать, и это грозит кибератаками на локальные генераторы, аналогичные атакам на локальные системы видеонаблюдения и жизнеобеспечения, какие мы видим сегодня практически ежедневно. Такие же угрозы актуальны не только для генерации, но и для других процессов энергетики: транспортировки энергии от домохозяйств, её накопления и хранения на территории хозяйств (аккумуляторы, конденсаторы, кинетические накопители).
Для оптимизации, оперативной балансировки нагрузки и обмена излишками энергии частные генераторы и аккумуляторы будут объединяться в конгломераты с единым управлением и личными кабинетами. В проектах энергонезависимых поселений управление такими системами планируется по открытым каналам и протоколам Интернет (в отличие от закрытых контуров управления ГЭС, АЭС и ТЭЦ), так что вскоре мы увидим во всей красе классически интернет-атаки на энергетику: взлом личных кабинетов производителей и потребителей энергии для хищения энергии и денег, DDoS-атаки на системы управления с требованиями выкупа, до актов кибертерроризма, нацеленных на нанесение ущерба как отключением энергии, так и на вывод из строя элементов энергосистем путём запуска их в нештатном режиме».
Яков Гродзенский, руководитель направления информационной безопасности компании «Системный софт»:
«По моему мнению, мобильные устройства – одна из наиболее уязвимых составляющих современной глобальной инфраструктуры. Очень опасны технологии реверс-инжиниринга, отсутствие внедренных MDM-решений еще во многих компаниях и большое количество вредоносных программ (в том числе бэкдоров), встроенных в полезные, на первый взгляд, приложения. Почему? Потому что, например, существуют мобильные клиенты для SCADA-систем, имеющие ряд функций мониторинга и управления. Представим на секунду, что телефон попадает под удаленное управление злоумышленника, причем владелец телефона об этом не догадывается. Возможные последствия не хочется даже представлять себе».
Чаба Краснаи, менеджер по продукту Shell Control Box компании Balabit:
«Мы привыкли думать, что преступления совершаются кем-то извне, а значит нужно просто плотнее закрывать бреши в системе безопасности. Но весь смысл хакерской атаки — нанести удар по самому незащищенному месту, найти ахиллесову пяту. На мой взгляд, компаниям нужно сосредоточиться на инсайдерских угрозах и обратить свое внимание на привилегированных пользователей. Последствия атак на ИТ-инфраструктуру энергетических компаний слишком непредсказуемы, и действовать необходимо максимально быстро. Отслеживая их активность и выстраивая цифровой портрет каждого сотрудника, службе безопасности будет проще выявить аномальную активность и остановить атаку, пока она не приняла ход катастрофы».